¿Se aplica PA-DSS a un sistema de comercio electrónico SaaS?

7

Mi empresa desarrolla y aloja un sistema de comercio electrónico y CMS personalizado. Proporcionamos esto solo bajo un modelo alojado de software como servicio. Tenemos el control total del entorno de alojamiento y nuestros clientes no tienen control sobre el código fuente. No pueden desplegar en su propio hardware; Ellos tienen que arrendar el software a nosotros.

Un proveedor me pregunta si cumplimos con las PA-DSS. De acuerdo con el Requisitos de evaluación de seguridad y requisitos de las PA-DSS v2.0 :

  

PA-DSS NO se aplica al pago   Aplicaciones ofrecidas por solicitud o   proveedores de servicios solo como un servicio   (a menos que tales aplicaciones sean también   vendido, licenciado, o distribuido a   terceros) porque:

     
  1. El   aplicación es un servicio ofrecido a   clientes (típicamente comerciantes) y   los clientes no tienen la capacidad   para gestionar, instalar o controlar el   aplicación o su entorno;

  2.   
  3. La aplicación está cubierta por el   propia aplicación o proveedor de servicios   Revisión de PCI DSS (esta cobertura debe   ser confirmado por el cliente); y / o

  4.   
  5. La aplicación no se vende,   Distribuido, o licenciado a terceros.   fiestas.

  6.   

Estoy tratando de entender si caemos bajo esos criterios. Me parece que lo haríamos, porque tenemos el control total sobre el software; Somos el proveedor de servicios de aplicaciones y el software se proporciona solo como un servicio. Nuestros clientes no tienen la capacidad de instalar o administrar el entorno de las aplicaciones, solo nuestro personal lo tiene. Por supuesto, nuestros clientes pueden utilizar la aplicación para crear productos y ver sus pedidos, sin embargo, nosotros hacemos toda la instalación y el mantenimiento del servidor.

Somos totalmente compatibles con PCI.

¿Se aplica PA-DSS a una aplicación de comercio electrónico alojada personalizada como esta, cuando el proveedor administra el código y el entorno?

    
pregunta Josh 07.02.2011 - 15:14
fuente

1 respuesta

4
  

PA-DSS NO se aplica a las aplicaciones de pago ofrecidas por la aplicación o   proveedores de servicios solo como un servicio (a menos que dichas aplicaciones también sean   vendido, licenciado o distribuido a terceros) porque:

     
  1. La aplicación es un servicio ofrecido a los clientes (generalmente comerciantes) y los clientes no tienen la capacidad de administrar, instalar o controlar la aplicación o su entorno;

  2.   
  3. [no se aplica por mi lectura]

  4.   
  5. La aplicación no se vende, distribuye ni licencia a terceros.

  6.   
They cannot deploy on their own hardware; they have to lease the software from us.

También tenga en cuenta: terceros significa sus clientes clientes. Usted no está permitiendo que sus clientes usen el software en cuestión, ¿verdad? (ignorando la función del carrito de compras, esa no es la parte que se trata aquí)

  

Por supuesto, nuestros clientes pueden usar la aplicación para crear productos y ver sus pedidos, sin embargo, nosotros hacemos toda la instalación y el mantenimiento del servidor.

Realmente no sería un producto si esto no fuera cierto. IE: todos los productos deben tener esta capacidad, por lo que se puede descartar de la consideración.

Creo que, después de leer sus preguntas / afirmaciones, el producto que está utilizando está cubierto. Si alguna vez deja que el cliente vea la totalidad del proceso de facturación, entonces no sería, en mi opinión. Pero debido a que usted controla la infraestructura y solo les da acceso a las partes pertinentes, está cubierto.

Esa es la lectura de mi laico.

    
respondido por el jcolebrand 07.02.2011 - 15:56
fuente

Lea otras preguntas en las etiquetas